Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. aqui vai a minha parte

    Tal como foi dito, tb concordo com a ideia de ter 2 maquinas, uma para shells, bnc's etc etc... e outra para http, se queres o meu conselho no que diz respeito aos daemons que queres utilizar, qui vai:

    FTP = vsFTPD (Very Secure FTPD) é um server de ftp facil de configurar, e bastante poderoso, é utilizado nos mirrors da redhat, suse, entre outros.. há mta gente que opta plo ProFTPD, tudo bem que ainda é mais facil de configurar, mas tb é um campeão em "remote holes"

    Apache 1.3.31 + PHP como já deves saber o apache é um bom webserver, eu pessoalmente prefiro as versoes 1.3.X , há quem gosta das 2.0.x, mas n sou eu :P
    Quanto ao PHP aconselho que dês uma olhadela no /etc/php.ini e dares aguns ajustes, pois a configuração por defeito, apesar de funcionar, pode apresentar serios riscos de segurança, e levar ao comprometimento da maquina (estou a falar de uma maquina para http, onde n existe acesso á consola, ssh, ou telnet por exemplo)

    Algumas coisas que deves ter em atenção no /etc/php.ini
    SafeMode = On
    GlobalRegisters = Off
    DisableFunctions = system(), exec(), passtrhu(), shellexec(), e com certeza que dev haver mais outras que eu n me lembro, estas funçoes permitem executar commandos do SO, atraves do php.
    ora tenta isto:
    <?
    system("uname -a;id");
    ?>

    dps coloca-o no server, e executa-o, com uma instalação por defeito do php e terás uma bela surpresa
    se queres segurança extra no apache, sp podes optar plo "mod_security" ou fazer um chroot ao daemon, man chroot


    OpenSSH 3.8p1, por razoes obvias...

    MySQL, ultima versão, visto que mtas SP's correm versoes de MySQL, as quais são possiveis fazeres login como root no MySQL em necessitares de password ... mto mau né?

    partiçoes separadas, para as directorias world writable, são elas
    /tmp
    /var/tmp

    faz essas duas partiçoes á parte, e no fstab coloca a flag "noexec" e "nosuid" nestas duas partiçoes, todos peodem ler e escrever, mas executar nem pensar... já é mais meio caminho andado se quiseres impedir um kiddie leet de te ownar a maquina.. sim eles fazem sp download de exploits pra essas dirs, ahh e já agr faz um chmod 700 ao wget, tb ajuda mto
    è o que tenho a dizer em relação a uma maquina para http..


    Quanto a uma maquina pra shells, a coisa compilaca-se, visto que existe acesso á consola, uma pequena distração nossa, pode levar ao comprometimento do servidor nesta situação, o que eu acho mais importante é:

    Um kernel sempre, mas sempre actualizado, mesmo que um bug existente seja minimo, actualiza o kernel sempre que puderes.. e está atento ás actualizaçoes do mesmo...

    e um chroot do ssh, para que cada user n possa sair da sua home, ou seja, quando um user fizer na consola, cd /
    na verdade vai fazer um cd /home/user... gotcha?

    outra coisa que convem lembrar é defenir o numero maximo de processos pra cada user, isso pode ser feito no /etc/sysctl.conf

    acho que é o basico pra pores isso a funcionar, minimamente bem... e klaro um bom SO a "carregar" com isso tudo
    Slckware, Debian ou FreeBSD 4.10 acho que estão á altura do serviço

    Um Abraço, The-shadow@ptnet

  2. #7
    LordNikon
    hey....... The-Shadow.. MUITO OBRIGADO.. MESMO


    eu tb sou de portugal..

    diz-me..sabes ai algum manual o assim? isso sim seria porreiro.. para eu estudar muito a serio nas ferias...

    obrigado



  3. um how-to sobre shellproviders... nc vi mesmo... o que podes fazer é uma compilação de varios temas..
    like
    chroot apache how-to
    chroot sshd how-to
    etc etc...

  4. #9
    LordNikon
    é que eu não sei mesmo.. algumas coisas..


    do tipo.. por limites para user's.. etc etc etc.. eu nem sei como fazere atribuir uma shell com psybnc etc etc etc...


    é mesmo por isso que eu queria uns how-to..



  5. isso deve ser dificil de arranjares.. how-tos sobre shell providers, n tou mm a ver, como sabes o segredo é a alma do negócio, mas n é nd de outro mudo. Quanto ao atribuir espaço aos utilizadores é mto facil, basta teres a partição /home configurada com suporte a quotas, procura no google
    "linux quota how-to"
    de certeza que deves encontrar mta informação disso.. quanto aos psybnc's n é nd de outro mundo
    um compilador como o gcc basta..
    e os egddrops
    basta o gcc + TCL
    isto disponivel pros utilizadores klaro... já que o make install é feito na propria dir do utilizador..n há necessidade de ser o root a instalar ssas coisas, normalmente os administradores de shells, limitam-se a criar a conta para o utilizador, e copiar um bnc e um eggdrop para a sua home, se o utilizador quiser instalar, fa-lo, else... apaga
    plo que sei funciona assim, fica bem






Tópicos Similares

  1. ssh security shell
    Por roggy no fórum Servidores de Rede
    Respostas: 2
    Último Post: 17-12-2002, 12:28
  2. Shell Script !!! Executar comando automático...
    Por Danielvb no fórum Linguagens de Programação
    Respostas: 11
    Último Post: 29-11-2002, 15:48
  3. Shell Script !!!
    Por Danielvb no fórum Servidores de Rede
    Respostas: 2
    Último Post: 29-11-2002, 09:55
  4. Executar script shell a partir de PHP
    Por no fórum Linguagens de Programação
    Respostas: 1
    Último Post: 25-11-2002, 17:08
  5. Servidor/Proverdor de contas Shell
    Por no fórum Servidores de Rede
    Respostas: 4
    Último Post: 06-11-2002, 14:50

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L